개요
GitLab 제품에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-5655
- GitLab CE/EE 버전: 15.8(포함) ~ 16.11.5(제외)
- GitLab CE/EE 버전: 17.0(포함) ~ 17.0.3(제외)
- GitLab CE/EE 버전: 17.1(포함) ~ 17.1.1(제외)
CVE-2024-4901
- GitLab CE/EE 버전: 16.9(포함) ~ 16.11.5(제외)
- GitLab CE/EE 버전: 17.0(포함) ~ 17.0.3(제외)
- GitLab CE/EE 버전: 17.1(포함) ~ 17.1.1(제외)
CVE-2024-6323
- GitLab CE/EE 버전: 16.11(포함) ~ 16.11.5(제외)
- GitLab CE/EE 버전: 17.0(포함) ~ 17.0.3(제외)
- GitLab CE/EE 버전: 17.1(포함) ~ 17.1.1(제외)
해결된 취약점
GitLab CE/EE에서 발생하는 공격자가 파이프라인을 다른 버전으로 트리거 할 수 있는 취약점(CVE-2024-5655)
GitLab CE/EE에서 발생하는 임의의 GraphQL 변형을 실행하는 GitLab의 GraphQL API 취약점(CVE-2024-4901)
GitLab CE/EE에서 발생하는 GitLab EE의 전역 검색에 대한 부적절한 인증으로 인해 공격자가 공개 프로젝트의 개인 저장소 콘텐츠를 유출할 수 있는 취약점(CVE-2024-6323)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-5655, CVE-2024-4901, CVE-2024-6323
- GitLab CE/EE 16.11.5버전
- GitLab CE/EE 17.0.3 버전
- GitLab CE/EE 17.1.1 버전
참고 사이트
[1] CVE-2024-5655 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-5655
[2] CVE-2024-4901 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-4901
[3] CVE-2024-6323 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-6323
[4] GitLab Critical Patch Release: 17.1.1, 17.0.3, 16.11.5
https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/